Estou solucionando uma falha no sistema que ocorreu esta manhã e encontrei essas entradas de log pouco antes. Na minha opinião, eles deveriam retornar 404... certo? Devo me preocupar?
80.82.76.76 - - [13/Aug/2021:09:20:15 -0400] "GET http://azenv.net/ HTTP/1.1" 200 569
80.82.76.76 - - [13/Aug/2021:09:37:12 -0400] "GET http://azenv.net/ HTTP/1.1" 200 569
Como eu reproduziria isso com cURL ou carteiro? Quando eu coloco um navegador, http://mydomain/http://azenv.net/ele aparece no log com um /no início. Também vai para https e não aparece no meu log http.
Responder1
Encontrei este recurso que explica esse problema detalhadamente:
https://cwiki.apache.org/confluence/display/httpd/ProxyAbuse
Consegui ver qual resultado o invasor estava vendo executando
telnet mydomain.com 80
GET http://azenv.net/ HTTP/1.1
Host: azenv.net
[press enter twice]
Meu servidor acabou de retornar a página inicial padrão em vez dos dados carregados do azenv.net. Esta é a razão do código de status 200. Nenhuma vulnerabilidade foi explorada. O recurso acima explica como você pode alterar esse comportamento, se desejar.